(CNN) – Un grupo de hackers destruyeron los computadores de seis importantes organizaciones saudíes hace dos semanas, haciendo reaparecer el arma digital más peligrosa que el mundo haya visto jamás.
La última vez fue usada para destruir 35.000 computadores de la compañía petrolera saudí Aramco. La inteligencia de Estados Unidos culpó silenciosamente a Irán por el ataque.
Ahora, con esta ciberarma han atacado al menos una agencia del gobierno saudí, así como organizaciones de los sectores de energía, de manufactura y transporte, según dos investigadores que tienen conocimiento de las investigaciones del ataque.
Investigadores de seguridad se dirigen a Arabia Saudita para investigar cómo los hackers limpiaron los computadores en masa, según varios expertos involucrados.
La agencia de noticias de Arabia Saudita, SPA, confirmó este miércoles que el ciberataque ocurrió “en varias instituciones y agencias del gobierno”.
“Los ataques tienen el objetivo de deshabilitar todos los equipos y servicios que se estaban prestando. Los atacantes robaron información del sistema y estaban plantando varios virus”, reporta SPA.
Los cibercriminales atacaron la Autoridad General Civil de Aviación (GACA, por sus siglas en inglés), el regulador de aviación saudí, según Patrick Wardle, un investigador de la firma de ciberseguridad Synack. El código malware muestra que atacaron empleados de la GACA.
Los ciberataques así de destructivos son raros.
Los hackers usaron una versión de una específica arma cibernética llamada Shamoon, que opera como una bomba de tiempo.
Varias firmas de ciberseguridad —como CrowdStrike, FireEye,McAfee, Palo Alto Networks, Symantec— enviaron reportes documentando el ataque esta semana.
A las 8:45 p.m. hora local, del 17 de noviembre, software malicioso empezó a limpiar los computadores de las organizaciones saudíes. Todos los archivos de los computadores fueron remplazados con la trágica imagen del refugiado sirio de 3 años, Alan Kurdi, muerto en las playas de Turquía.
Después, el malware se tomó el registro de arranque de los computadores para que no pudieran ser encendidos de nuevo.
Los hackers cronometraron el ataque para que ningún empleado pudiera parar la destrucción. Ocurrió el jueves, el último día de la semana laboral saudí.
Pero es muy pronto para culpar a un país específico, organización criminal o grupo “hacktivista”.
“El malware uno haber sido copiado por otros actores”, dijo Dmitri Alperovitch, cofundador de CrowdStrike. “Todavía no estamos preparados para decirlo”.
Alperovitch y otros notaron que el hackeo pasó justo días antes de que los países de la OPEP acordaran reducir la producción de petróleo por primera vez en ocho años.
Había mucho en juego en ese trato, que eventualmente favorecería a Irán, permitiéndole impulsar su producción en un intento para que alcanzara niveles que tenía esa nación antes de que fuera golpeada con sanciones internacionales.
Collin Anderson, uno de los expertos mundiales en actividades iraníes de hackeo, dijo que es posible que Irán use este ataque para presionar a Arabia Saudita.
Irán y Arabia Saudita han estado envueltos en una larga lucha de poder por liderar la influencia en Medio Oriente.
“Hemos visto un incremento dramático en el nivel de actividad de espionaje llevado a cabo por grupos de hackers que están conectados con el gobierno iraní”, dijo Anderson, que trabajan en una investigación del centro de pensamiento Carnegie Endowment for International Peace, que rastrea la historia de guerra cibernética iraní.
El último ataque con ‘Shamoon’ siguió un patrón similar en el devastador ataque de Aramco en 2012. El asalto empezó durante el mes sagrado islámico del Ramadán, cuando la mayoría de los empleados de las compañías petroleras estaban de vacaciones. Los archivos de los computadores fueron remplazados con imágenes de la bandera estadounidense en llamas.
En ese punto, un grupo que se autodenominaba “Cutting Sword of Justice” se atribuyó la responsabilidad, citando el apoyo que le daba Aramco al régimen autoritario de la familia real Al Saud.
Investigadores no han encontrado ninguna adjudicación de la responsabilidad por estos ataques de noviembre. Eric Chien, director técnico de Symantec, dijo que es sorprendente que los hackers hayan usado la misma arma en otro objetivo saudí y que haya funcionado.
Wardle estuvo de acuerdo.
“El malware está bastante mal escrito y se ha utilizado antes. Así que o GACA no tenía ningún software de seguridad instalado, o el software de seguridad que tenían era bastante flojo y no lo detectó”, dijo Wardle.